PF防火墙基本配置

PF防火墙基本配置
PF防火墙造价信息
PF防火墙规则生成捷径
PF防火墙基本配置常见问题
PF防火墙基本配置文献
pf-kernel简介
防火墙技术防火墙的使用
Linux防火墙防火墙设置

PF防火墙图片

PF防火墙基本配置

重定向规则: rdr on tl0 proto tcp from 192.0.2.1 to 24.65.1.13 port 80 \

-> 192.168.1.5 port 8000

数据包在经过rdr规则前的模样:

* 源地址: 192.0.2.1

* 源端口: 4028 (由操作系统任意选择)

* 目的地址: 24.65.1.13

* 目的端口: 80

数据包经过rdr规则后的模样:

* 源地址: 192.0.2.1

* 源端口: 4028

* 目的地址: 192.168.1.5

* 目的: 8000

过滤引擎看见的IP数据包时转换发生之后的情况。

安全隐患

重定向确实存在安全隐患。在防火墙上开了一个允许流量进入内部网络的洞，被保护的网络安全潜在的受到了威胁!例如，如果流量被转发到了内部的web服务器，而web服务器上允许的守护程序或者CGI脚本程序存在漏洞，则这台服务器存在会被因特网网上的入侵者攻击危险。如果入侵者控制了这台机器，就有了进入内部网络的通道，仅仅是因为这种流量是允许通过防火墙的。

这种风险可以通过将允许外部网络访问的系统限制在一个单独的网段中来减小。这个网段通常也被称为非军事化区域(DMZ)或者私有服务网络(PSN)。通过这个方法，如果web服务器被控制，通过严格的过滤进出DMZ/PSN的流量，受影响的系统仅限于DMZ/PSN网段。

重定向和反射

通常，重定向规则是用来将因特网上到来的连接转发到一个内部网络或者局域网的私有地址。例如:

server = 192.168.1.40

rdr on $ext_if proto tcp from any to $ext_if port 80 -> $server \

port 80

但是，当一个重定向规则被从局域网上的客户端进行测试时，它不会正常工作。这是因为重定向规则仅适用于通过指定端口($ext_if,外部接口，在上面的例子中)的数据包。从局域网上的主机连接防火墙的外部地址，并不意味着数据包会实际的通过外部接口。防火墙上的TCP/IP栈会把到来的数据包的目的地址在通过内部接口时与它自己的IP地址或者别名进行对比检测。那样的数据包不会真的通过外部接口，栈在任何情况下也不会建立那样的通道。因而，PF永远也不会在外部接口上看到那些数据包，过滤规则由于指定了外部接口也不会起作用。

指定第二条针对内部接口的也达不到预想的效果。当本地的客户端连接防火墙的外部地址时，初始化的TCP握手数据包是通过内部接口到达防火墙的。重定向规则确实起作用了，目标地址被替换成了内部服务器，数据包通过内部接口转发到了内部的服务器。但源地址没有进行转换，仍然包含的是本地客户端的IP地址，因此服务器把它的回应直接发送给了客户端。防火墙永远收不到应答不可能返回客户端信息，客户端收到的应答不是来自它期望的源(防火墙)会被丢弃，TCP握手失败，不能建立连接。

当然，局域网里的客户端仍然会希望象外部客户一样透明的访问这台内部服务器。有如下的方法解决这个问题:

水平分割 DNS

存在这样的可能性，即配置DNS服务器使得它回答内部主机的查询和回答外部主机的查询不一样，因此内部客户端在进行名称解析时会收到内部服务器的地址。它们直接连接到内部服务器，防火墙根本不牵扯。这会降低本地流量，因为数据包不会被送到防火墙。

将服务器移到独立的本地网络

增加单独的网络接口卡到防火墙，把本地的服务器从和客户端同一个网段移动到专用的网段(DMZ)可以让本地客户端按照外部重定向连接的方法一样重定向。使用单独的网段有几个优点，包括和保留的内部主机隔离增加了安全性;服务器(我们的案例中可以从因特网访问)一旦被控制，它不能直接存取本地网络因为所有的连接都必须通过防火墙。

TCP 代理

一般而言，TCP代理可以在防火墙上设置，监听要转发的端口或者将内部接口上到来的连接重定向到它监听的端口。当本地客户端连接防火墙时，代理接受连接，建立到内部服务器的第二条连接，在通信双方间进行数据转发。

简单的代理可以使用inetd和nc建立。下面的/etc/inetd.conf中的条目建立一个监听套接字绑定到lookback地址(127.0.0.1)和端口5000。连接被转发到服务器192.168.1.10的80端口。

127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w \

20 192.168.1.10 80

下面的重定向规则转发内部接口的80端口到代理:

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \

127.0.0.1 port 5000

RDR 和 NAT 结合

通过对内部接口增加NAT规则，上面说的转换后源地址不变的问题可以解决。

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \

$server

no nat on $int_if proto tcp from $int_if to $int_net

nat on $int_if proto tcp from $int_net to $server port 80 -> \

$int_if

这会导致由客户端发起的初始化连接在收到内部接口的返回数据包时转换回来，客户端的源ip地址被防火墙的内部接口地址代替。内部服务器会回应防火墙的内部接口地址，在转发给本地客户端时可以反转NAT和RDR。这个结构是非常复杂的，因为它为每个反射连接产生了2个单独的状态。必须小心配置防止NAT规则应用到了其他流量，例如连接由外部发起(通过其他的重定向)或者防火墙自己。注意上面的rdr规则会导致TCP/IP栈看到来自内部接口带有目的地址是内部网络的数据包。

查看详情

PF防火墙造价信息

市场价

信息价

询价

材料名称	规格/型号	市场价（除税）	工程建议价（除税）	品牌	单位	税率	供应商
防火墙	LIC-USG6555E-TP-3Y 威胁防护36个月(适用于USG6555E)	查看价格	查看价格		台	13%	深圳市扬天世纪网络有限公司
防火墙	USG6555E-AC USG6555E交流主机(2×GE WAN+8×GE Combo+2×10GE SFP+,1交流电源,含SSL VPN 100用户)	查看价格	查看价格		台	13%	深圳市扬天世纪网络有限公司
防火墙	E00TSLD00 伸缩滑道	查看价格	查看价格		台	13%	深圳市扬天世纪网络有限公司
防火墙	02353AEK-88134UEY-1L8-36 USG6555E交流主机(2×GE WAN+8×GE Combo+2×10GE SFP+,1交流电源,含SSL VPN 100用户)-Hi-Care基础服务标准 USG6555E-36月	查看价格	查看价格		台	13%	深圳市扬天世纪网络有限公司
防火墙	品种:防火墙;用途:适用于校园及企业大型组网级别;技术参数:16×GERJ45+6×GESFP+6×10GESFP+,16G内存,1交流电源	查看价格	查看价格	H3C	台	13%	石家庄古桥科技有限公司
防火墙	下一代防火墙、并发200万以上,吞吐量2.5Gbps以上,支持VPN,支持冗余电源,支持主流入侵检测,WEB管理,支持ISP运营商链路的负载均衡、选路等,支持5000用户.	查看价格	查看价格	H3C	台	13%	北京首为天成科技有限公司
防火墙	下一代防火墙、并发200万以上,吞吐量2.5Gbps以上,支持VPN,支持冗余电源,支持主流入侵检测,WEB管理,支持ISP运营商链路的负载均衡、选路等,支持5000用户.	查看价格	查看价格	网康	台	13%	北京首为天成科技有限公司
防火墙	网络端口不少于4个GE端口;控制端口1个配置口(CON);VPN支持L2TP VPN;GRE VPN;IPSec/IKE;SSL VPN 入侵检测支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件	查看价格	查看价格	H3C	系统	13%	四川天齐科技实业有限公司

材料名称	规格/型号	除税信息价	含税信息价	单位	地区/时间
复合材料预制装配式防火墙		查看价格	查看价格	m²	广东2019年1季度信息价
复合材料预制装配式防火墙		查看价格	查看价格	m²	广东2020年1季度信息价
复合材料预制装配式防火墙		查看价格	查看价格	m²	广东2019年4季度信息价
复合材料预制装配式防火墙		查看价格	查看价格	m²	广东2019年3季度信息价
复合材料预制装配式防火墙		查看价格	查看价格	m²	广东2019年2季度信息价
MSTP光设备STM-16	基本单元(不含光接口、以太网接口单元、2Mb/s板)	查看价格	查看价格	套	广东2022年3季度信息价
MSTP光设备STM-16	基本单元(不含光接口、以太网接口单元、2Mb/s板)	查看价格	查看价格	套	广东2022年1季度信息价
MSTP光设备STM-4	基本单元(不含光接口、以太网接口单元、2Mb/s板)	查看价格	查看价格	套	广东2022年1季度信息价

材料名称	规格/需求量	报价数	最新报价（元）	供应商	报价地区	最新报价时间
防火墙	防火墙\|1套	2	查看价格	广州市熹尚科技设备有限公司	湖南	2021-10-12
防火墙	防火墙\|1套	1	查看价格	广东岑安机电有限公司	湖南	2021-10-12
防火墙	防火墙\|1个	3	查看价格	四川巨杉科技有限公司	四川	2018-05-31
防火墙	防火墙\|1000m³	1	查看价格	-	广东中山市	2010-07-26
防火墙	千兆硬件防火墙,配置2GE+Combo+24FE,内置500G硬盘,配置单交流电源\|1台	1	查看价格	广州市熹尚科技设备有限公司	全国	2021-11-30
防火墙	防火墙\|1台	3	查看价格	北京汇鑫盛泰科技有限公司	全国	2021-11-12
防火墙	防火墙\|1套	1	查看价格	上海格雅信息技术有限公司	全国	2019-07-11
防火墙	防火墙\|1处	1	查看价格	成都强川科技有限公司	四川	2018-04-18

PF防火墙规则生成捷径

简介

PF提供了许多方法来进行规则集的简化。一些好的例子是使用宏和列表。另外，规则集的语言或者语法也提供了一些使规则集简化的捷径。首要的规则是，规则集越简单，就越容易理解和维护。

使用宏

宏是非常有用的，因为它提供了硬编码地址，端口号，接口名称等的可选替代。在一个规则集中，服务器的IP地址改变了?没问题，仅仅更新一下宏，不需要弄乱花费了大量时间和精力建立的规则集。

通常的惯例是在PF规则集中定义每个网络接口的宏。如果网卡需要被使用不同驱动的卡取代，例如，用intel代替3com，可以更新宏，过滤规则集会和以前功能一样。另一个优点是，如果在多台机器上安装同样的规则集，某些机器会有不同的网卡，使用宏定义网卡可以使的安装的规则集进行最少的修改。使用宏来定义规则集中经常改变的信息，例如端口号，IP地址，接口名称等等，建议多多实践!

# define macros for each network interface

IntIF = "dc0"

ExtIF = "fxp0"

DmzIF = "fxp1"

另一个惯例是使用宏来定义IP地址和网络，这可以大大减轻在IP地址改变时对规则集的维护。

# define our networks

IntNet = "192.168.0.0/24"

ExtAdd = "24.65.13.4"

DmzNet = "10.0.0.0/24"

如果内部地址扩展了或者改到了一个不同的IP段，可以更新宏为:

IntNet = "{ 192.168.0.0/24, 192.168.1.0/24 }"

当这个规则集重新载入时，任何东西都跟以前一样。

使用列表

来看一下一个规则集中比较好的例子使得RFC1918定义的内部地址不会传送到因特网上，如果发生传送的事情，可能导致问题。

block in quick on tl0 inet from 127.0.0.0/8 to any

block in quick on tl0 inet from 192.168.0.0/16 to any

block in quick on tl0 inet from 172.16.0.0/12 to any

block in quick on tl0 inet from 10.0.0.0/8 to any

block out quick on tl0 inet from any to 127.0.0.0/8

block out quick on tl0 inet from any to 192.168.0.0/16

block out quick on tl0 inet from any to 172.16.0.0/12

block out quick on tl0 inet from any to 10.0.0.0/8

看看下面更简单的例子:

block in quick on tl0 inet from { 127.0.0.0/8, 192.168.0.0/16, \

172.16.0.0/12, 10.0.0.0/8 } to any

block out quick on tl0 inet from any to { 127.0.0.0/8, \

192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }

这个规则集从8行减少到2行。如果联合使用宏，还会变得更好:

NoRouteIPs = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \

10.0.0.0/8 }"

ExtIF = "tl0"

block in quick on $ExtIF from $NoRouteIPs to any

block out quick on $ExtIF from any to $NoRouteIPs

注意虽然宏和列表简化了pf.conf文件，但是实际是这些行会被pfctl(8)扩展成多行，因此，上面的例子实际扩展成下面的规则:

block in quick on tl0 inet from 127.0.0.0/8 to any

block in quick on tl0 inet from 192.168.0.0/16 to any

block in quick on tl0 inet from 172.16.0.0/12 to any

block in quick on tl0 inet from 10.0.0.0/8 to any

block out quick on tl0 inet from any to 10.0.0.0/8

block out quick on tl0 inet from any to 172.16.0.0/12

block out quick on tl0 inet from any to 192.168.0.0/16

block out quick on tl0 inet from any to 127.0.0.0/8

可以看到，PF扩展仅仅是简化了编写和维护pf.conf文件，实际并不简化pf(4)对于规则的处理过程。

宏不仅仅用来定义地址和端口，它们在PF的规则文件中到处都可以用:

pre = "pass in quick on ep0 inet proto tcp from "

post = "to any port { 80, 6667 } keep state"

# David's classroom

$pre 21.14.24.80 $post

# Nick's home

$pre 24.2.74.79 $post

$pre 24.2.74.178 $post

扩展后:

pass in quick on ep0 inet proto tcp from 21.14.24.80 to any \

port = 80 keep state

pass in quick on ep0 inet proto tcp from 21.14.24.80 to any \

port = 6667 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.79 to any \

port = 80 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.79 to any \

port = 6667 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.178 to any \

port = 80 keep state

pass in quick on ep0 inet proto tcp from 24.2.74.178 to any \

port = 6667 keep state

PF 语法

PF的语法相当灵活，因此，允许编写非常灵活的规则集。PF能够自动插入某些关键字因此它们不必在规则中明确写出，关键字的顺序也是随意的，因此不需要记忆严格的语法限制。

减少关键字

要定义全部拒绝的策略，使用下面2条规则:

block in all

block out all

这可以简化为:

block all

如果没有指定方向，PF会认为规则适用于数据包传递的进、出2个方向。

同样的， "from any to any" 和 "all" 子句可以在规则中省略，例如

block in on rl0 all

pass in quick log on rl0 proto tcp from any to any port 22 keep state

可以简化为:

block in on rl0

pass in quick log on rl0 proto tcp to port 22 keep state

第一条规则阻塞rl0上从任意到任意的进入数据包，第

查看详情

PF防火墙基本配置常见问题

如何配置COMODO防火墙的规则

我想想啊
关于防火墙和公司网络的连接和配置

一般会遇到以下N种情况,你看有没有你的那种: 调制解调器不工作。原因：调制解调器不兼容。解决方案：如果有另一台计算机可以访问 Internet，那么请查看兼容调制解调器的列表。要查找由 Win...
提问防火墙

按普通墙套，注意换算材料价格。没有的项目，以补充项进。